Mluvčí ÚOOÚ Milan Řepka přijetí hlášení o úniku dat potvrdil. „Od správce osobních údajů jsme obdrželi povinné hlášení o porušení zabezpečení osobních údajů u Portálu dopravy,“ potvrdil redakci iDNES.cz přijetí druhý den po incidentu. Zákonná povinnost stanovuje hlášení učinit do 72 hodin.
Jedním z uživatelů, kteří zrovna v době výpadku potřebovali v Portálu dopravy pracovat, byl pan Michal, který se redakci iDNES.cz ozval. „Stalo se mi, že po přihlášení do Portálu dopravy v něm vidím cizí jména, data narození a vozidla. Nejde o malé množství cizích osobních údajů. Jsou vidět i čísla řidičských průkazů, skupiny, nebo že osoba nemá řidičský průkaz, přestupky a podrobnosti k nim a i zákazy řízení,“ popsal svou zkušenost. Nyní již podniká právní kroky.
Podle informací, které na infolince Portálu dopravy získal, byla závada rychle odhalena a systém okamžitě odstaven. „Na Portálu dopravy jsme dnes ráno identifikovali problém s přihlášením uživatelů, na který jsme obratem reagovali odstavením systému,“ přiznalo na síti X ministerstvo dopravy.
Jenže nakonec ministerstvo přiznalo, že výpadek trval několik hodin.
„Následnou analýzou incidentu jsme zjistili, že v období od 30. září 1:26 do 30. září do 08:06 mohlo až 169 přihlášených uživatelů v systému vidět informace jiných uživatelů, kteří byli v uvedeném čase také přihlášení. Na zákaznickou linku jsme obdrželi 4 telefonické a 7 e-mailových hlášení o potížích. Incident byl v souladu s pravidly nahlášen Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a Úřadu pro ochranu osobních údajů (ÚOOÚ), včetně detailní časové osy a doposud zjištěných informací,“ sdělil redakci mluvčí ministerstva dopravy František Jemelka.
IT expert Michal Brtva, který se zabývá kyberbezpečností, vidí v úniku dat závažné nedostatky, které plynou podle něj i z pravděpodobně nedostatečného otestování celého systému.
„Myslím si, že šlo o špatnou implementaci uživatelských relací. Pak dochází k tomu, že se smíchají data z různých účtů. Poukazuje to na možné vážné nedostatky nejen v samotném testování, ale i celé architektuře systému,“ hodnotí. To ovšem dodavatel Portálu státní podnik CENDIS odmítá. Testování probíhalo i za účasti NÚKIB.
Jediným řešením je podle něj odstávka systému, důkladná analýza a náprava. „Okamžitě bych to odstavil, zanalyzoval míru úniku dat a obnovil správné fungování přístupových práv,“ dodal Brtva.
Hrozí soudní spory s ministerstvem dopravy
Ministerstvo se postiženým uživatelům omluvilo. To zřejmě ale stačit nebude. „Omlouváme se všem případným dotčeným klientům. Chyba byla odstraněna a byla přijata opatření, aby k podobnému incidentu již nedošlo. Příčina vzniku je předmětem další podrobné analýzy,“ dodal Jemelka. Pan Michal a další, se kterými je redakce v kontaktu, ale odmítají událost mlčky přejít.
„Za digitalizaci dneska padají hlavy. A tam jde o nějaké chyby, sám jsem to na úřadu nedávno řešil při žádosti o stavební povolení. Ale abych se podíval a viděl celý život jiného řidiče, včetně detailů o přestupcích, to je do nebe volající neschopnost,“ řekl redakci jeden z postižených, který si s ohledem na zvažovaný soudní spor nepřál být jmenován, ale redakce jeho totožnost zná.
Provozovatelem Portálu dopravy je státní podnik CENDIS (Centrum dopravních informačních systémů). Ten za jeho implementaci inkasoval dvacet milionů korun. Smlouvu podle údajů z registru smluv podepsal přímo ministr dopravy Martin Kupka, který bude nyní odpovědný za digitalizaci stavebního řízení poté, kdy premiér Petr Fiala odvolal ministra pro místní rozvoj Ivana Bartoše.
Testovací provoz stál devět milionů
Dalších devět milionů korun inkasoval podnik za ověřovací provoz. I v tomto případě podle registru smluv smlouvu podepsal přímo ministr Kupka. CENDIS dále provozuje mimo jiné systém elektronické dálniční známky EDAZ, jednotnou jízdenku na železnici OneTicket, či dohled nad elektronickým mýtem.
Společnost se však podle mluvčího resortu dopravy na digitalizaci stavebního řízení podílet nebude. „Digitalizaci stavebního řízení ministr Kupka koordinuje, resortně pod ministerstvo dopravy stavební řízení nespadá. Ministerstvo pro místní rozvoj v tomto má nadále své úkoly,“ objasnil Jemelka.